AnonymFlow
outils-diagnosticINFO

Verificar que un VPN es seguro: auditoría completa en 7 pasos (método 2026)

Has activado tu VPN, pero ¿es realmente efectiva? IP, DNS, WebRTC, IPv6, kill switch, velocidad, auditoría no-log: auditoría completa paso a paso en 10 minutos, con lo que hay que buscar y cómo interpretar.

Por Eric Gerard · Editor · AnonymFlow11 min de lecturaFoto: Markus Spiske - Unsplash

Activar un VPN es una cosa. Verificar que hace realmente lo que promete es otra. La mayoría de los usuarios hace clic en «Conectar», ve una marca verde, y considera el asunto cerrado. Salvo que ese testigo luminoso en la aplicación no dice nada sobre lo que tu tráfico revela realmente a los sitios visitados. Esta auditoría metódica en 7 pasos lleva una decena de minutos y te dice exactamente dónde estás - no lo que el proveedor quiere mostrar en su interfaz de marketing.

Paso 1 - Verificar la IP pública observada

Es el test más básico pero también el más rápidamente revelador de problemas importantes de configuración. Abre la herramienta Mi IP sin VPN, anota la dirección mostrada y el nombre del ISP (Orange, Free, SFR, Bouygues en Francia). Activa tu VPN, recarga la página: la IP debe haber cambiado, y el ISP debe pasar a un nombre como Tefincom (filial NordVPN), Tata Communications, M247 (usado por varios VPN), u otro hosting datacenter.

Bandera roja a los 30 segundos: si la IP no ha cambiado tras activación, es que tu VPN no está conectado o está enrutando tu tráfico sin enmascarar la IP - caso raro pero existente en ciertas configuraciones empresariales mal parametradas (proxy + VPN que se neutralizan). Solución: reiniciar el cliente VPN, verificar la conexión de red activa.

Anota también el país detectado: debe corresponder al servidor VPN que seleccionaste. Una diferencia (servidor seleccionado «Países Bajos» pero país detectado «Alemania») indica o un servidor mal anunciado geográficamente, o una geolocalización imprecisa de la base de datos MaxMind/IP2Location - no crítico en sí, pero a vigilar si apuntas a un catálogo de streaming preciso (el desbloqueo depende de la geolocalización detectada por Netflix, no del servidor declarado).

Paso 2 - Probar las fugas DNS

Código fuente en un editor de terminal
Código fuente en un editor de terminal

Puedes tener una IP enmascarada por VPN pero ver tus peticiones DNS partir directamente hacia los servidores de tu ISP. Resultado: tu ISP sabe qué sitios consultas (logs de resolución DNS), incluso si los sitios mismos ven la IP del VPN. Es la fuga más frecuente y menos visible - de ahí su criticidad en toda auditoría seria.

Test rápido: visitar dnsleaktest.com, lanzar un «Extended Test» (no el «Standard Test» que es insuficiente), esperar 10-20 segundos. La herramienta lista los servidores DNS que respondieron. Comparar con los servidores DNS de tu ISP: si coincidencia, fuga confirmada.

Para el detalle metodológico completo y las correcciones por SO (Windows SMHNR a desactivar, navegador DoH a desactivar, IPv6 a tunelizar), ver nuestra guía completa test fuga DNS. La mayoría de los VPN serios empujan sus propios servidores DNS cuando están activos; en VPN menos fiables, es el SO el que decide - y el SO toma a menudo el servidor DNS del ISP por defecto.

Paso 3 - Auditar las fugas WebRTC

WebRTC está diseñado para la comunicación P2P en el navegador (videoconferencia, compartición de archivos en vivo, juegos en línea). Para funcionar, intenta descubrir todas tus direcciones IP - incluidas las que tu VPN debería ocultar. Si nada lo bloquea, un script JavaScript en un sitio malicioso puede leer tu IP real a pesar del VPN activo. Es la fuga más sigilosa de los siete puntos de auditoría.

El test: lanzar nuestra herramienta Test fuga DNS - sondea los candidatos ICE WebRTC desde tu navegador y revela si una IP pública diferente de la salida VPN aparece, es decir, una fuga confirmada. Si la IP revelada difiere de la IP del servidor VPN anotada en el paso 1, acción inmediata requerida.

Soluciones en orden de eficacia: (1) activar la protección WebRTC en los ajustes de tu VPN (la mayoría de buenos VPN tienen esta opción), (2) instalar la extensión navegador oficial del VPN que desactiva WebRTC nativamente, (3) desactivar WebRTC manualmente en about:config Firefox (variable media.peerconnection.enabled a false) o vía uBlock Origin en Chrome (ajustes → Privacidad → impedir WebRTC).

Paso 4 - Verificar ausencia de fuga IPv6

Es la fuga olvidada de las auditorías superficiales. Muchos VPN solo enrutan el tráfico IPv4 y dejan pasar IPv6 directamente hacia tu ISP. Resultado: si el sitio visitado soporta IPv6 (Google, Facebook, Cloudflare lo hacen todos), ve tu IPv6 real mientras el VPN solo oculta tu IPv4. El sitio conoce por tanto tu geolocalización real.

Test rápido: visitar test-ipv6.com. Si la sección IPv6 muestra una dirección y esa dirección no es la del servidor VPN, tienes una fuga IPv6. Los mejores VPN ofrecen una opción «Block IPv6» o «Tunnel IPv6» en sus ajustes avanzados. Activar esa opción o, en último recurso sucio-pero-eficaz, desactivar IPv6 globalmente en tu sistema (Windows Ajustes → Red → Adaptador → Propiedades → desmarcar IPv6).

NordVPN soporta el túnel IPv6 desde 2024, ExpressVPN bloquea IPv6 por defecto, Surfshark tiene una opción dedicada. Los VPN que no gestionan IPv6 en absoluto son técnicamente obsoletos en 2026 - Free y Orange despliegan IPv6 nativamente, muchos usuarios están afectados sin saberlo.

Paso 5 - Probar el kill switch

El kill switch es lo que corta tu conexión Internet si el VPN cae. Sin él, una desconexión VPN de un segundo basta para revelar tu IP real a los sitios en curso, incluso reanudar las conexiones en claro (Netflix, banking, etc.). Es un mecanismo de seguridad pasiva esencial.

Test simple: lanzar una descarga larga en segundo plano (ISO distribución Linux Ubuntu, 4 GB), luego en los ajustes VPN, forzar una desconexión o matar el proceso del cliente VPN vía el administrador de tareas. La descarga debe interrumpirse de golpe. Si continúa, tu kill switch no está activo - o tu VPN simplemente no tiene uno.

Verificar también el comportamiento al arranque de la máquina: ¿tu VPN se reconecta antes de que el navegador envíe sus primeras peticiones? Si no, la ventana de exposición entre arranque del SO y activación VPN puede revelar tu IP a los rastreadores que se cargan automáticamente (Google Analytics, Facebook Pixel en sitios marcados). Solución: activar «Launch at startup» + «Auto-connect» en el cliente VPN, Y desactivar el auto-arranque del navegador con sesión previa.

Paso 6 - Medir la pérdida de velocidad

Un VPN bien configurado pierde típicamente 5 a 15 % de caudal en servidor cercano, y añade 10 a 40 ms de latencia según la distancia al servidor. Más allá, o bien el servidor está saturado, o bien el protocolo está mal elegido (OpenVPN en vez de WireGuard), o tu VPN no está técnicamente al nivel del mercado 2026.

Usar la herramienta Test velocidad en secuencia reproducible: (1) medir una primera vez sin VPN, anotar download/upload/latencia en 3 ensayos sucesivos (mediana), (2) activar el VPN en el servidor más próximo geográficamente, (3) volver a medir en las mismas condiciones, (4) calcular la pérdida en porcentaje. Si pierdes más del 30 % de caudal o más de 80 ms de latencia en servidor local, cambia de servidor (el tuyo está saturado) o de protocolo (fuerza WireGuard/NordLynx). Nuestro análisis completo de la velocidad NordVPN detalla los benchmarks esperados por configuración.

Los protocolos modernos (WireGuard, NordLynx, Lightway, IKEv2) son notablemente más eficaces que los antiguos (OpenVPN UDP, sobre todo OpenVPN TCP). Forzar WireGuard cuando disponible en el cliente VPN.

Selección editorial
4.6 / 5

Probar NordVPN - pasa los 7 pasos de auditoría de forma fiable

WireGuard/NordLynx nativo · Threat Protection · 30 días satisfecho o reembolsado

Auditoría Deloitte 2024Garantía de 30 días14M+ usuarios
Ver la oferta

Paso 7 - Verificar la política de logs (y su auditoría independiente)

Es el paso que no puedes probar técnicamente tú mismo, pero que puedes verificar indirectamente vía terceros de confianza. Un VPN que se autoproclama «no-log» sin auditoría pública es solo una promesa de marketing - no una prueba técnica.

Buscar en el sitio del VPN la mención de una auditoría independiente reciente por un gabinete reconocido: PwC, Deloitte, KPMG, Cure53, Securitum. NordVPN publicó varias auditorías PwC (2018, 2020, 2022) y Deloitte (2023, 2024). ExpressVPN fue auditado por KPMG en 2022. Mullvad tiene una serie de auditorías Cure53 de 2020 a 2023. ProtonVPN auditado por Securitum en 2023.

La política no-log de un VPN es tan fuerte como su jurisdicción. Un VPN basado en un país sin obligación legal de retención de datos y que ha sido auditado independientemente ofrece las garantías más fuertes - pero ninguna garantía puede ser absoluta. La desconfianza sana sigue siendo la regla.

- EFF, Electronic Frontier Foundation - Elegir un VPN adecuado para ti (2024)

Verificar también la jurisdicción. Un VPN basado en Panamá (NordVPN) o las Islas Vírgenes Británicas (ExpressVPN) no está sujeto a las mismas obligaciones de retención que un VPN basado en Estados Unidos (Five Eyes) o en Francia (ley de programación militar). No garantiza que no registrarán en la práctica, pero reduce la presión legal que podría forzarlos a hacerlo. Ver nuestro test completo NordVPN para el detalle auditoría + jurisdicción.

Resumen - tu checklist de auditoría en 10 minutos

Para no olvidar nada, aquí la secuencia exacta a aplicar en orden metodológico. Cada paso debe devolver un resultado conforme al estándar 2026 sin lo cual el VPN no es adecuado para un uso privacy serio.

PasoHerramientaBandera roja
1. IP públicaHerramienta Mi IPIP sin cambios o ISP sin cambios
2. Fuga DNSDNSLeakTest.comServidor DNS = tu ISP
3. WebRTCHerramienta Test fuga DNSIP pública diferente de la salida VPN
4. IPv6test-ipv6.comIPv6 real visible
5. Kill switchTest manual descargaDescarga continúa tras corte VPN
6. VelocidadHerramienta Test velocidadPérdida > 30 % o latencia > 80 ms
7. LogsSitio del VPN + auditoría públicaSin auditoría independiente reciente

Renovar esta auditoría completa tras cada actualización mayor: Windows 11 feature updates, releases macOS, versiones mayores Firefox/Chrome, y por supuesto tras actualización del cliente VPN mismo. Una vez por trimestre basta para uso personal. Nuestro protocolo de prueba VPN documentado sistematiza esta secuencia en los VPN que auditamos.

Lo que hay que recordar

Un VPN que pasa los 7 pasos te protege contra las fugas más comunes - es lo esencial para la vida privada cotidiana, el streaming vía VPN, o la navegación en Wi-Fi no fiable (cafés, hoteles, aeropuertos). Raramente es el caso de los VPN gratuitos, y globalmente es el caso de los tres o cuatro VPN de pago líderes del mercado en 2026 - NordVPN, ExpressVPN, Surfshark, y Mullvad o ProtonVPN para usos más focalizados en privacidad estricta. Si tu VPN actual falla en varios pasos, nuestro comparativo de mejores alternativas a NordVPN prueba 5 opciones con los mismos criterios.

Si vas en modo «anonimato periodístico» o «whistleblower», tendrás que ir más allá de estos 7 pasos - Tor por encima del VPN, máquina dedicada Linux/Tails, OPSEC estricta. Pero ya no es el tema de una auditoría VPN simple, es un tema de OPSEC completa que rebasa el alcance de esta guía.

Para la mayoría de los usos cotidianos, el encadenamiento de las 7 verificaciones arriba es ampliamente suficiente. Una vez por trimestre, lleva 10 minutos y vale ampliamente la pena confirmar que tu herramienta de privacy hace su trabajo.

Selección editorial
4.6 / 5

Probar NordVPN - Threat Protection completa

Auditorías PwC 2023 + Deloitte 2024 confirmadas · 30 días satisfecho o reembolsado

Auditoría Deloitte 2024Garantía de 30 días14M+ usuarios
Ver la oferta

Para profundizar en seguridad VPN


Valoración editorial independiente basada en las capacidades documentadas de los servicios, las auditorías independientes publicadas y los benchmarks públicos, con verificaciones mediante herramientas estándar (iperf3, dnsleaktest.com, browserleaks). Los enlaces comerciales llevan el atributo rel="sponsored nofollow"; puede aplicarse una comisión de afiliación sin coste adicional para el lector y sin influencia en la valoración.

Selección editorial
4.6 / 5

Corrige la fuga - cifra todo con NordVPN

DNS seguro · kill switch · Threat Protection · 30 días de garantía

Auditoría Deloitte 2024Garantía de 30 días14M+ usuarios
Ver la oferta
Todo lo que necesitas saber.

Preguntas frecuentes

¿Cuánto tiempo lleva una auditoría VPN completa?

Unos 10 a 15 minutos la primera vez, el tiempo de encadenar las 7 verificaciones en orden metodológico. Nuestro [protocolo de prueba](/es/metodologia) documenta la secuencia exacta. Renovar tras cada actualización mayor de tu VPN, SO (Windows feature updates, macOS releases) o navegador (Firefox, Chrome activan a veces DoH automáticamente tras update). Una vez por trimestre basta para uso personal.

¿Si mi VPN pasa los 7 pasos, soy realmente anónimo?

No, y es una distinción esencial a entender. Estás protegido contra las fugas IP más comunes - es el objetivo de una auditoría VPN. Pero el anonimato depende también de tus cookies, cuentas conectadas (Google, Facebook siguen sabiendo quién eres a pesar del VPN), fingerprint de navegador, y hábitos de comportamiento. Un VPN no borra Google, ni Facebook, ni tu historial de YouTube. Para un anonimato periodístico estricto (whistleblower, fuente protegida), hay que apilar Tor encima del VPN, máquina dedicada, OPSEC completa - una auditoría VPN sola no basta en ese caso.

¿Qué paso es el más crítico de los 7?

WebRTC y fuga DNS - son las dos fugas más frecuentes y menos visibles a simple vista. Un sitio malicioso puede recuperar tu IP real vía WebRTC a pesar del VPN activo si la opción no está bloqueada a nivel navegador o VPN. Lo mismo para el DNS que revela tu historial de dominios a tu ISP sin ninguna señal visible. Los 5 otros pasos (IP pública, IPv6, kill switch, velocidad, logs) son importantes pero menos frecuentemente explotables como vector de fuga inmediata.

¿Un VPN gratuito puede pasar estos 7 pasos?

Muy raramente. La mayoría de los VPN gratuitos fallan en varios de los 7 pasos: a menudo sin opción kill switch (paso 5), sin protección WebRTC (paso 3), sin auditoría independiente publicada (paso 7), y a veces con logs de conexión conservados explícitamente. Si la seguridad importa, suele ser inevitable pagar.